【注意】CPU脆弱性MeltdownとSpectorについて


  • Moderator

    CPUの脆弱性が見つかり大騒ぎになっています。
    1995年以降のCPUが対象らしいので殆どのユーザーが対象となりそうなので、情報共有と注意喚起です。

    chromeでの緩和方法が窓の杜に記載されていました。
    この処置を行うことで対象CPUの脆弱性が緩和されるようです
    デメリットはブラウザーのメモリの使用量が10%〜20%増えるとのこと。

    対象CPUをお使いの方は、念のためにvivaldiのアップデートが来るまで有効にした方が良いと思います。

    vivaldiでの手順。

    1. vivaldi://flags/#enable-site-per-processにアクセス
    2. 有効にするに変更
    3. 画面下の今すぐ再起動を押す。

    ※ポイントだけ引用していますので、詳細は参考にした下記のサイトをご覧ください。

    窓の杜、Google、CPU脆弱性“Meltdown”“Spectre”の緩和策を「Google Chrome 64」へ導入

    https://forest.watch.impress.co.jp/docs/news/1099729.html

    以下部分引用

    「Google Chrome」には“厳密なサイト分離(Strict site isolation)”と呼ばれる機能がオプションで導入されている。この機能を利用すると、他のサイトから情報を盗まれないように、Webサイトをそれぞれ独立したプロセスへ隔離し、セキュリティを高めることが可能。メモリ使用量が若干増えるなどのデメリットを抱えているため初期状態で無効化されているが、“chrome://flags”画面などから有効化しておけばサイドチャンネル攻撃への対策となる。

    引用終わり

    トレンドマイクロ、CPU の脆弱性「Meltdown」と「Spectre」への対応

    http://blog.trendmicro.co.jp/archives/16703

    以下部分引用

    Intel、AMD および ARM 製の CPU に影響を与えます。今日利用されているほぼすべての CPU はパフォーマンス向上のために命令を事前に実行する仕組みを持っていますが、今回確認された脆弱性はこの機能を対象とします。言い換えると、これらの脆弱性はアドレス空間の分離を回避し、本来アクセスできないメモリにアクセスすることが可能になる脆弱性です。アドレス空間の分離は、1980 年代以降 CPU による処理の整合性を保つための基礎的な技術として利用されています。
    ■「Meltdown」と「Spectre」の影響
    「Meltdown」と「Spectre」は、今日ほぼすべての CPU が利用する速度向上のための基本的な仕組みに存在する脆弱性です。この脆弱性はさまざまな命令のタイミングを利用することで情報へのアクセスができるもので、それが企業が保有する情報であっても、個人の機密情報であっても、アクセスが可能になります。
    ■更新プログラムのインストール後に予測されること
    情報を事前に読み込む機能を無効化した際のパフォーマンスの低下について多くの議論が行われていますが、過度に心配する必要はありません。多くの PC や仮想マシンではそのような性能の低下は見られないでしょう。各環境について以下のような現象が予測されます

    クラウドベースのシステムの場合:応答時間に若干の遅延が出ると予測されます。CPU の動作は遅くなりますが、CPU、メモリ、およびディスクはインターネットの向こう側に存在します。
    高負荷の処理をローカルで実行する場合:より大きな影響が出ると考えられます。高負荷処理やビッグデータ解析は、情報を事前に読み込む機能の恩恵を大きく受ける処理であるため、この機能を無効化するとより多くの時間がかかるようになります。
    家庭用 PC の場合:ほとんどの一般利用者は影響に気付くことはないでしょう。ゲームや高負荷のグラフィックコンポーネントを利用する場合、上述のような性能の低下が予測されます。
    「Meltdown」と「Spectre」は Microsoft 固有の問題ではありません。その他のオペレーティング・システム(OS)を提供する企業からも、通常通り更新プログラムが公開されるでしょう。

    引用終わり



  • こんにちは。
    こちらのページで解説等情報がありましたので,参考までにリンクを記載します。

    プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた

    Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
    << 4Gamer.net の記事より一部引用>>
    対策は「最新の修正プログラムを導入しつつ,怪しいプログラムは実行しない」ことに尽きる

    いずれにせよ,プログラマーにとってさえ寝耳に水なのだから,ユーザーレベルでできることというのはさほど多くない。ゲーマーとしては,センセーショナルに騒ぎ立てる人達に耳を貸すことなく,慌てず騒がず最新の修正プログラムを施し,怪しいプログラムは実行しないという鉄則を守ることが肝要だろう。



  • ちなみに OS の更新について,我が家で複数の Windows 10 環境にて更新確認した感触では,どうも広報されているようにウイルス対策ソフトとの兼ね合いで更新自体が表示されない(適用に問題があると判断される)様子です。
    Windows Defender 以外の Panda Free Antivirus ,Malwarebytes for Windows(プレミアム版),Sophos Home(無償版)が導入された環境では更新が表示,適用されませんでした。
    (逆に,環境再構築中だった Windows Defender が有効な状態の環境のみ,更新が見つかり,適用されました。)

    @zyxwj said in 【注意】CPU脆弱性MeltdownとSpectorについて:

    トレンドマイクロ、CPU の脆弱性「Meltdown」と「Spectre」への対応

    http://blog.trendmicro.co.jp/archives/16703

    以下部分引用

    Intel、AMD および ARM 製の CPU に影響を与えます。今日利用されているほぼすべての CPU はパフォーマンス向上のために命令を事前に実行する仕組みを持っていますが、今回確認された脆弱性はこの機能を対象とします。言い換えると、これらの脆弱性はアドレス空間の分離を回避し、本来アクセスできないメモリにアクセスすることが可能になる脆弱性です。アドレス空間の分離は、1980 年代以降 CPU による処理の整合性を保つための基礎的な技術として利用されています。
    ■「Meltdown」と「Spectre」の影響
    「Meltdown」と「Spectre」は、今日ほぼすべての CPU が利用する速度向上のための基本的な仕組みに存在する脆弱性です。この脆弱性はさまざまな命令のタイミングを利用することで情報へのアクセスができるもので、それが企業が保有する情報であっても、個人の機密情報であっても、アクセスが可能になります。
    ■更新プログラムのインストール後に予測されること
    情報を事前に読み込む機能を無効化した際のパフォーマンスの低下について多くの議論が行われていますが、過度に心配する必要はありません。多くの PC や仮想マシンではそのような性能の低下は見られないでしょう。各環境について以下のような現象が予測されます

    クラウドベースのシステムの場合:応答時間に若干の遅延が出ると予測されます。CPU の動作は遅くなりますが、CPU、メモリ、およびディスクはインターネットの向こう側に存在します。
    高負荷の処理をローカルで実行する場合:より大きな影響が出ると考えられます。高負荷処理やビッグデータ解析は、情報を事前に読み込む機能の恩恵を大きく受ける処理であるため、この機能を無効化するとより多くの時間がかかるようになります。
    家庭用 PC の場合:ほとんどの一般利用者は影響に気付くことはないでしょう。ゲームや高負荷のグラフィックコンポーネントを利用する場合、上述のような性能の低下が予測されます。
    「Meltdown」と「Spectre」は Microsoft 固有の問題ではありません。その他のオペレーティング・システム(OS)を提供する企業からも、通常通り更新プログラムが公開されるでしょう。

    引用終わり


  • Moderator

    Raspberry piの公式サイトによるとARMはSpectorとMeltdownの影響を受けないとのことです。

    Why Raspberry Pi isn't vulnerable to Spectre or Meltdown - Raspberry Pi より抜粋。

    ここ数日間、 SpecterとMeltdownという名前のセキュリティ脆弱性について多くの議論がありました。 これらは、すべての最新のIntelプロセッサ、(Spectreの場合)多くのAMDプロセッサとARMコアに影響を与えます。 Spectreでは、攻撃者はソフトウェアのチェックをバイパスして、現在のアドレス空間の任意の場所からデータを読み取ることができます。 Meltdownにより、攻撃者はオペレーティングシステムのカーネルのアドレス空間(通常はユーザープログラムからアクセスできない)の任意の場所からデータを読み取ることができます。

    どちらの脆弱性も、多くの最新のプロセッサに共通するパフォーマンス機能( キャッシングと投機的実行 )を悪用し、いわゆるサイドチャネル攻撃によってデータをリークします。 幸いなことに、私たちが使用している特定のARMコアのため、Raspberry Piはこれらの脆弱性の影響を受けません。

    ラズベリーパイに使用されているARM1176、Cortex-A7、およびCortex-A53コアのスペキュレーションが欠如しているため、この種の攻撃から免除されています。


Log in to reply
 

Looks like your connection to Vivaldi Forum was lost, please wait while we try to reconnect.